CSRF 防护未来会怎么演进？现在该如何规划？

CSRF 防护未来不会只靠一个 Token，而是会变成“浏览器默认安全能力 + 服务端显式校验 + 风险分层”的组合。现在规划时，优先把 SameSite、Origin/Referer、Fetch Metadata 和关键操作 Token 做成统一基线，再根据业务是否跨站、是否嵌入第三方页面、是否有移动端或开放 API 做例外配置。

追问

SameSite 变强后还需要 CSRF Token 吗？

需要。SameSite=Lax 能挡住很多普通跨站请求，但挡不住所有复杂场景。Token 仍适合关键写操作。

Fetch Metadata 能替代传统校验吗？

不能完全替代，但适合网关低成本拦截。服务端可根据 Sec-Fetch-Site、Sec-Fetch-Mode 默认拒绝跨站危险方法。

CHIPS 和分区 Cookie 会改变模型吗？

会改变第三方嵌入场景，但不解决所有业务写操作授权问题。iframe、SSO、第三方插件要提前梳理 Cookie 策略。

企业现在怎么改架构？

把 CSRF 策略放到统一安全中间件或 API 网关，会话 Cookie 开 Secure、HttpOnly、SameSite=Lax，高风险操作再校验 Token。